Поднял свой VPS с ханипотом - любопытно знать, чем именно промышляют люди, постоянно долбящиеся в порт 22 по всему Интернету. Уже спустя 10 минут вот такой улов. Первые запросы начали приходить буквально спустя минуту после запуска ханипота. То есть любой плохо защищенный сервер со стандартными настройками почти моментально после запуска подвергается атакам.
Как страшно жить...
Как страшно жить...
🔥7😈2
Install Wizard
Поднял свой VPS с ханипотом - любопытно знать, чем именно промышляют люди, постоянно долбящиеся в порт 22 по всему Интернету. Уже спустя 10 минут вот такой улов. Первые запросы начали приходить буквально спустя минуту после запуска ханипота. То есть любой…
У меня такими темпами неиронично дневная квота API AbuseIPDB кончится, лол
Install Wizard
Поднял свой VPS с ханипотом - любопытно знать, чем именно промышляют люди, постоянно долбящиеся в порт 22 по всему Интернету. Уже спустя 10 минут вот такой улов. Первые запросы начали приходить буквально спустя минуту после запуска ханипота. То есть любой…
В комментариях задали справедливый вопрос - а ради чего боты (а в подавляющем большинстве этим занимаются именно автоматические скрипты) сканируют SSH-порты серверов? И хотя долгосрочные планы у разных атакующих могут быть разными, за сутки я уже собрал приличный урожай логов, из которых можно судить о конкретных действиях, стоит сканеру подобрать пароль:
1) Начальный сбор информации (скрины 1-4). Инфа о системе, железе, установленном и запущенном софте - всё, что может как-то свидетельствовать о возможной пользе уязвимого хоста. На скрине 3, кстати, сканер перепутал ханипот с микротиком (или, скорее, действует "на авось")
2) Закрепление (скрины 5-7). Обычно это заключается в попытке добавить свой SSH-ключ, очевидно, для беспрепятственного логина позже
3) Ботнет/малварь. Относительно остальных редкий, но тем не менее в целом очень распространённый вид деятельности - это заражение серверов вредоносами. Мне пока попадались майнеры, а также (неудивительно) ботнет Mirai (скрин 8).
1) Начальный сбор информации (скрины 1-4). Инфа о системе, железе, установленном и запущенном софте - всё, что может как-то свидетельствовать о возможной пользе уязвимого хоста. На скрине 3, кстати, сканер перепутал ханипот с микротиком (или, скорее, действует "на авось")
2) Закрепление (скрины 5-7). Обычно это заключается в попытке добавить свой SSH-ключ, очевидно, для беспрепятственного логина позже
3) Ботнет/малварь. Относительно остальных редкий, но тем не менее в целом очень распространённый вид деятельности - это заражение серверов вредоносами. Мне пока попадались майнеры, а также (неудивительно) ботнет Mirai (скрин 8).
❤3
Install Wizard
Минутка (не)конспирологии: последние дни некоторые сайты стали из рук вон плохо загружаться. Что удивительнее, с включённым VPN они грузились со свистом - то есть дело не в Интернете. И вряд ли беды с DNS - все сайты часто мной посещались. Сейчас меня осенило…
Тем временем я продолжаю сходить с ума. Сайты иногда загружаются в одном браузере, но не грузят в другом; иногда не работают ни в одном, но спустя время всё же как ни в чём не бывало начинают работать. Иногда в Wireshark видны исходящие пакеты и TCP retransmission, иногда нет даже этого.
Если что, все эти вышеперечисленные варианты я пронаблюдал за последние 15 минут на нескольких никак не связанных сайтах. Неизменны два момента -
1) с VPN всё работает быстро и без всяких проблем, и
2) пинги всегда доходят.
Поскольку всё это дело легко свалить на РКН/провайдера, я так и поступаю, но я даже не представляю, как такое дебажить (желательно, не убив весь день только на это).
Если что, все эти вышеперечисленные варианты я пронаблюдал за последние 15 минут на нескольких никак не связанных сайтах. Неизменны два момента -
1) с VPN всё работает быстро и без всяких проблем, и
2) пинги всегда доходят.
Поскольку всё это дело легко свалить на РКН/провайдера, я так и поступаю, но я даже не представляю, как такое дебажить (желательно, не убив весь день только на это).
😢3